API安全机制之认证

最新推荐文章于 2024-04-14 10:58:13 发布
最新推荐文章于 2024-04-14 10:58:13 发布
阅读量723 收藏
点赞数
分类专栏: 微服务安全实战 文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013449046/article/details/104499086
版权

在权限判断时,如果一个请求需要身份认证,但没有认证,在这里拒绝请求

HttpBasic认证

认证信息(username,password)-> Base64加密(信息组合如:username:password 生成base64)->放入请求头(Authorization:作为key)(可支持很多请求头,因为是HttpBasic,所以请求头格式为:Basic 生成base64生成的串)

缺点:并非十分安全

演示实例

实现过滤器

核心代码,使用commons-lang3包下的StringUtils帮助类

@Component
public class BasicAutorizationFilter extends OncePerRequestFilter {


    @Autowired
    private UserRepository userRepository;


    protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, FilterChain filterChain) throws ServletException, IOException {
        String authorization = httpServletRequest.getHeader("Authorization");
        if(StringUtils.isNotBlank(authorization)){
            String token64 = StringUtils.substringAfter(authorization, "Basic ");
            String token=new String(Base64Utils.decodeFromString(token64));
            String[] strs=StringUtils.splitByWholeSeparatorPreserveAllTokens(token,":");

            String username=strs[0];
            String password=strs[1];

            User user = userRepository.findByUsername(username);

            if(user!=null&&StringUtils.equals(password,user.getPassword())){
                httpServletRequest.setAttribute("user",user);
            }

        }
        filterChain.doFilter(httpServletRequest,httpServletResponse);
    }
}

测试

在这里插入图片描述

大军465
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WebApi.Token安全机制
11-06
通过ajax分配相应的clientID和Secret及用户名和密码,后端利用owin进行处理并分配access_token,刷新token调用相应的ajax,根据已提供refresh_token进行刷新;测试页面click_me_please_iframe.html包含相应的刷新和认证,同时refresh_token以文件的形式进行存储,方便下次程序直接使用,不必要在产生新的token;开发工具是vs2015
C# WEB API 安全认证源码 REST
11-16
在C# Web API开发中,安全认证是至关重要的一步,它确保了只有授权的用户或应用程序可以访问受保护的资源。本源码提供了一个完整的安全认证解决方案,适用于RESTful服务。下面将详细介绍其中涉及的关键知识点。 1. ...
API接口安全认证
无痕的博客
11-09 1386
参考: https://blog.csdn.net/pkyourself/article/details/93462578 api接口安全验证 https://blog.csdn.net/zsj777/article/details/98743219?utm_medium=distribute.pc_relevant.none-task-blog-title-3&spm=1001.2101.3001.4242 API接口安全性设计 接口的安全性主要围绕Token、Time...
API接口的安全设计验证:ticket,签名,时间戳
最新发布
VIP129370的博客
04-14 1024
与前端对接的API接口,如果被第三方抓包并进行恶意篡改参数,可能会导致数据泄露,甚至会被篡改数据,我主要围绕时间戳,token,签名三个部分来保证API接口的安全性1.用户成功登陆站点后,服务器会返回一个token,用户的任何操作都必须带了这个参数,可以将这个参数直接放到header里。2.客户端用需要发送的参数和token生成一个签名sign,作为参数一起发送给服务端,服务端在用同样的方法生成sign进行检查是否被篡改。
api 安全机制
gjcandxyx的博客
07-15 248
API 安全机制 接口的安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看: Token授权机制:用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。Token是客户端访问服务端的凭证。 时间戳超时机制:用户每次请求都带上当前时间的时间戳timestamp,服务端接收到timest
安全api接口认证
weixin_30677617的博客
10-17 615
安全api接口认证 实现步骤: 1、客户端与服务器都存放着用于验证的Token字段,客户端在本地把自己的 用户名+时间戳+Token 组合进行MD5加密后生成一段新的md5-token。 2、客户端访问的时候携带:用户名、时间戳、md5-token。 3、服务端收到请求后,先判断用户名、时间戳是否合法、假设先判断发送过来的时间戳和现在的时间戳不能大于2分钟。 4、如果是在2分钟之内,...
API 安全机制 | 流控
乌鲁木齐001号程序员
07-11 158
流控 | 流量控制 流控要做在所有安全机制的最前头; 流控有针对整个集群的流控,有针对单个服务的流控; 流控 | 单个服务的流控 基于 Guava 的 RateLimiter 的实现 package com.lixinlei.security.api.filter; import java.io.IOException; import javax.servlet.FilterChain; ...
API接口安全策略文档
06-29
API接口应只接受经过认证的应用程序的请求,这通常涉及到分配唯一的APP ID和Secret,使得服务端可以通过APP ID查找出对应的Secret,以此验证请求来源的合法性。 其次,为了防止篡改攻击,即请求在传输过程中被修改...
WebApi 安全认证
10-02
WebApi安全认证是开发RESTful服务时至关重要的一个环节,主要目的是确保只有授权的用户或应用程序可以访问敏感数据和服务。WebApi通常与多种身份验证和授权机制结合使用,以提供安全的数据交换。以下是对WebApi安全...
C#进阶系列 WebApi身份认证解决方案推荐:Basic基础认证
09-02
ASP.NET提供了多种认证机制,包括FORM身份验证、集成WINDOWS验证、Basic基础认证和Digest摘要认证。每种方式都有其适用场景,本文以Basic认证为例进行深入解析。 2. Basic认证原理: Basic认证通过加密用户信息...
四种 常见的认证机制
shi860715的博客
08-21 892
2 常见的认证机制 2.1 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽...
API接签名验证
08-01
http Restful API接签名验证 ,防API接口进行在公网裸奔
Java安全_使用JavaAPI管理证书
10-07
Java安全_使用JavaAPI管理证书
API 安全机制 | 认证
乌鲁木齐001号程序员
07-12 143
认证 vs 登录 认证和登录不一样,登录是获取用户信息,认证是验证用户身份是否合法; 登录的行为,在一段时间内,往往只发生一次;认证的行为,是每次请求调用业务逻辑的时候,都会做的; 认证不管成没成功,都会往下走,进入审计步骤去记录;最终请求能不能通过,是需要授权机制去决定的,比如认证机制没生效,不知道当前用户是谁,但是这个请求任然可能是可以调用业务逻辑的,比如商品查询;登录如果没成功,就不会往下...
Web Api 安全
左直拳的马桶_日用桶
05-24 2088
过去,我写过一两个Web Api,没有任何身份校验和安全措施,随便在浏览器中输入地址就能访问,谁都可以。无异于裸奔。有关Web Api安全措施,我目前了解到的有以下一些:一、使用Basic Authentication验证用户 客户端在发送Http请求的时候在Header部分提供一个基于Base64编码的用户名和密码,形式为“username:password”,消息接收者(服务器)进行验证,通
API安全
郑某某的博客
07-28 2116
API安全
Web开发中常见的认证机制
weixin_33756418的博客
03-13 388
HTTP基本认证(HTTP Basic Auth) 在HTTP中,HTTP基本认证是一种允许Web浏览器或者其他客户端在请求时提供用户名和口令形式的身份凭证的一种登录验证方式。 简单而言,HTTP基本认证就是我们平时在网站中最常用的通过用户名和密码登录来认证机制。优点HTTP 基本认证是基本上所有流行的网页浏览器都支持。但是基本认证很少...
REST API认证机制的设计规则
转错的弯,走错的路
02-28 454
REST API认证机制的设计规则
SpringBoot系列 - 集成JWT实现接口权限认证
diaobo9395的博客
01-25 223
会飞的污熊2018-01-2216173阅读 springjwtspringboot RESTful API认证方式 一般来讲,对于RESTful API都会有认证(Authentication)和授权(Authorization)过程,保证API安全性。 Authentication vs. Authorization Authentication指的是确定...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值